组策略的管理
Microsoft组策略管理控制台(GPMC) 是针对组策略管理的最新解决方案,它能够帮助您更具成本效益地管理企业。该控制台由一个新的Microsoft 管理控制台(MMC)管理单元和一组编写脚本的组策略管理接口组成。在Windows Server 2003发布之前,GPMC将作为一个单独的组件提供给用户。
GPMC的目的
GPMC的设计目标在于:
· 通过为组策略的核心要素提供一个单一的管理位置,简化组策略的管理过程。您可以将GPMC 视作管理组策略的一个“一站式的购物场所”。
· 满足客户就组策略部署提出的主要要求,这主要通过以下手段得以实现:
· 一个能够让组策略变得更易于使用的用户界面。
·组策略对象(GPO)的备份/恢复
· GPO的导入/导出和复制/粘贴,以及Windows管理规范(WMI)过滤器。
· 基于组策略实现的、更简单的安全性管理
· GPO设置的HTML报告
·组策略结果和组策略建模数据(以前被称作策略结果集)的HTML报告
· 围绕该工具内部所暴露的GPO操作编写脚本——而不是围绕GPO设置编写脚本
在GPMC出现之前,管理员需要使用数个Microsoft工具来管理组策略。GPMC将这些工具所拥有的现有组策略功能以及上面所介绍的新增功能结合到了一个单一、统一的控制台中。
管理Windows 2000 和 Windows Server 2003 域
GPMC可以使用Active Directory 服务管理基于Windows 2000 和 Windows Server 2003的域。在这两种域之中,用来运行工具并且用作管理目的的计算机必须安装以下操作系统和组件之一:
· Windows Server 2003
· Windows XP Professional with Service Pack 1(SP1);SP1后的其它热修补程序;以及Microsoft .NET Framework。
其它组策略特性和改进
特性 描述
重新定向默认的用户和计算机容器 Windows Server 2003 提供的工具能够自动将新的用户和计算机对象重新定向到应用了组策略的指定组织单位中。
这种做法可以帮助管理员避免出现新添用户和计算机对象出现在域的根级别的默认容器中这种情况。类似这样的容器并不是为保存组策略链接而设计的,而且客户端也不能从这些容器上读取或应用组策略。本特性可以强迫使用这些容器的许多客户引入域级别的组策略,而在很多情况下,这种策略是难于使用的。
实际上,Microsoft建议用户创建一个富有逻辑层次的组织单位,并且使用它保存新近创建的用户和计算机对象。管理员可以使用两个新的资源工具包工具——RedirUsr 和 ReDirComp——为三个遗留的API(NetUserAdd()、NetGroupAdd()、NetJoinDomain() )指定一个备用的默认位置。这允许管理员重新将默认位置定向到更为适合的组织单位,然后直接在这些新的组织单位上应用组策略。
组策略结果 组策略结果(Group Policy Results)允许管理员确定并分析当前应用在某个特殊目标上的策略集合。通过组策略结果,管理员能够查看目标计算机上现有的策略设置。组策略结果以前被称作日志模式的策略结果集(Resultant Set of Policy)。
组策略建模 组策略建模(Group Policy Modeling)意在帮助管理员规划系统的增长和重新组织。它允许管理员挨个查看现有的策略设置、应用程序以及某个假设情境的安全性。在管理员决定必须对现有设置进行修改之后,他们可以进行一系列的测试,以查看在用户或用户组被移动到另一个位置、另一个安全组或者另一台计算机后,究竟会发生何种情况。这包括了在所做的修改生效之后,应该应用哪些策略设置或者自动加载哪些策略设置。
组策略建模为管理员带来了极大的便利,因为在网络中真正实施修改之前,管理员能够通过组策略建模对策略进行全面测试。
新的策略设置
Windows Server 2003 包括了超过150个的新的策略设置。这些策略设置为用户定制和控制操作系统针对特定用户组的行为提供了手段。这些新的策略设置可以影响到诸如错误报告、终端服务器、网络和拨号连接、DNS、网络登录请求、组策略以及漫游配置文件这样的功能。
Web 视图管理模板 该特性加强了“组策略管理模板”扩展管理单元,用户可以通过它查看与不同策略设置有关的详细信息。在选择了某个策略设置之后,有关该设置的行为的详细信息以及该项设置应用在何处的附加信息便显示在“管理”模板用户界面的“Web”视图中。此外,这些信息也可以通过每个设置的“属性”页面上的“解释”选项卡进行查看。
管理DNS客户端管理员可以在Windows Server 2003上使用组策略配置DNS客户端设置。在调整DNS客户端设置时——例如启用和禁用客户端的DNS记录的动态注册,在名称解析时使用主DNS后缀以及填充DNS后缀列表等,这种做法可以大大简化域成员的配置过程。
“我的文档” 文件夹的重定向管理员可以使用本特性将用户从一个主目录形式的旧有部署过渡到“我的文档”模式,同时和现有的主目录环境保持兼容性。
在登录时完全安装指派给用户的应用程序应用程序部署编辑器(Application Deployment Editor)包含了一个新的选项,它允许一个指派给用户的程序在用户登录时进行完全的安装,而不是根据需要进行安装。这样,管理员便可以确保相应的应用程序能够自动安装在用户的计算机上。
Netlogon 本特性能够在基于Windows Server 2003的计算机上使用组策略配置Netlogon设置。在调整Netlogon设置(例如启用和禁用特定于域控制器的定位DNS记录的动态注册,定期刷新这样的记录,启用和禁用自动站点覆盖,以及其它许多Netlogon参数)的时候,它能够简化配置域成员所需的步骤。
网络和拨号连接 Windows Server 2003 网络配置用户界面可以通过组策略被特定的(有限制的)用户所使用。
分布式事件策略 WMI 事件基础结构经过了扩展,可以运行在一个分布式的环境之中。该项增强由数个能够完成WMI事件的订阅配置、筛选、关联、汇集和传输的组件组成。ISV 可以利用更多的用户接口和策略类型定义实现健康状况监视、事件日志、通知、自动恢复以及计费等功能。
禁用凭据管理器作为Windows Server 2003拥有的一项新功能,凭据管理器(Credential Manager)简化了用户凭据的管理过程。组策略允许您禁用凭据管理器。
面向软件部署的支持URL 本特性能够为软件包编辑和添加一个支持URL。在应用程序出现在目标计算机上的“添加/删除程序”中时,用户可以通过这个支持URL前往支持页面。本特性有助于降低支持部门所接听支持电话的数量。
WMI 筛选 Windows管理规范(WMI)能够收集与计算机有关的大量数据,例如硬件和软件清单、设置、和配置信息等。WMI从注册表、驱动程序、文件系统、Active Directory、简单网络管理协议(SNMP)、Windows Installer服务、结构化查询语言(SQL)、网络以及Exchange Server处收集这些信息。Windows Server 2003 中的WMI 筛选(WMI Filtering)允许您根据对WMI数据的查询,动态地确定是否应用某个GPO。这些查询(又称作WMI过滤器)决定了哪些用户和计算机能够获得在您用来创建过滤器的GPO中配置的策略设置。本功能让您能够根据本地计算机的属性动态地应用组策略。
例如,某个GPO可能向特定组织单位中的用户指派了Office XP。但是,管理员不能肯定是否组织中所有的旧桌面计算机都拥有足够的硬盘空间来安装该软件。在这种情况下,管理员便可以结合使用WMI过滤器和GPO,只向拥有超过400MB以上剩余硬盘空间的用户指派Office XP。
终端服务器管理员可以使用组策略管理用户使用终端服务器的方式,例如强制进行重定向,口令访问以及墙纸设置。
